Die zehn Gebote des Datenschutzes
Anlage zu § 9 Satz 1 BDSG
Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu
treffen, die je nach der Art der zu schützenden personenbezogenen Daten
geeignet sind,
1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet werden, zu verwehren
(Zugangskontrolle),
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert
oder entfernt werden können
(Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte
Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener
Daten zu verhindern
(Speicherkontrolle),
4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von
Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können
(Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen können
(Zugriffskontrolle),
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche
Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung
übermittelt werden können
(Übermittlungskontrolle),
7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden
kann, welche personenbezogenen Daten zu welcher Zeit von wem in
Datenverarbeitungssysteme eingegeben worden sind
(Eingabekontrolle),
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können
(Auftragskontrolle),
9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie
beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert,
verändert oder gelöscht werden können
(Transportkontrolle),
10. die innerbehördliche oder innerbetriebliche Organisation so zu
gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht
wird
(Organisationskontrolle).
Technische Realisierung der 10 Gebote
- 1. Zugangskontrolle
- Türsicherung, Sicherheitsschloß,
abschließen der Räume, Schlüsselregelung,
Verschluß von Datenträgern, Wechsel-Festplatten,
nicht einsehbare Aufstellung von Geräten,
Überwachungs- und Alarmanlagen.
- 2. Datenträgerkontrolle
- Spezielle Räume zur Aufbewahrung,
Datensafes, nur kontrolliertes und dokumentiertes Kopieren,
Bestandskontrollen, kontrollierte Vernichtung,
ordnungsgemäße Verwaltung von Disketten und
Druckausgaben.
- 3. Speicherkontrolle
- Trennung von Programm- und Datenbereichen verschiedener
Benutzer,
Löschen von Speicherbereichen vor Wiederverwendung,
Sperrung von Diskettenlaufwerken.
- 4. Benutzerkontrolle
- Nutzung durch Unbefugte verhindern,
Paßwortregelungen und sonstige Identifikationsverfahren,
Kontrolle der Netzverbindungen,
kontrollierter Einsatz der Betriebssystemfunktionen.
- 5. Zugriffskontrolle
- Festlegung und Prüfung der Zugriffsberechtigungen,
Protokollierung von Zugriffen,
zeitliche Begrenzung von Zugriffen,
revisionsfähige Dokumentation der Benutzerprofile.
- 6. Übermittlungskontrolle
- Sender,
Definition von Empfänger und Art der zu übermittelnden Daten,
Dokumentation von Datum und Ziel,
Festlegung von Art und Zweck eines Abrufverfahrens,
Verschlüsselung, Netzdokumentation.
- 7. Eingabekontrolle
- Unbefugte Eingabe verhindern,
manipulationssichere Protokollierung.
- 8. Auftragskontrolle
- Protokoll über Auftrag und Erledigung,
eindeutige Vertragsgestaltung.
- 9. Transportkontrolle
- Festlegung von Boten und Transportwegen,
Quittung,
Transportkoffer, Verschlüsselung.
- 10. Organisationskontrolle
- Verantwortlichkeiten, Planung,
Verpflichtungen und Dienstanweisungen,
Verfahrens-, Dokumentations- und Programmierrichtlinien,
Funktionstrennung.
Vorlesung Datenschutz und Datensicherheit
Sommersemester 1996, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz
Zurück zum Inhaltsverzeichnis
Autor: Klaus Pommerening, 19. April 1996
Email an Pommerening@imsd.uni-mainz.de.